Datatilsynet (Danemark), 26 avril 2022
Dans une décision du 26 avril 2022, l’autorité de contrôle danoise a rappelé que l’employeur, responsable du traitement, doit désactiver les droits d’accès de ses anciens salariés.
Au cours de l’été 2021, l’autorité de contrôle danoise a mené des inspections aléatoires auprès de municipalités.
A l’occasion desdites inspections, l’autorité de contrôle a constaté que la commune de Gladsaxe, qui s’était pourtant dotée d’un manuel de sécurité réglementant la gestion des droits d’accès, n’avait pas retiré aux employés licenciés leurs droits d’accès au système informatique.
Face a ce constat, l’autorité de contrôle a rappelé qu’il incombe au responsable du traitement (i) d’identifier les risques liés aux traitements de données et (ii) de mettre en œuvre les mesures de sécurité appropriées pour protéger les personnes concernées contre ces risques.
Plus précisément, l’autorité rappelle que, parmi ces mesures de sécurité, figurent :
- d’une part la nécessité pour le responsable du traitement de garantir que les droits d’accès aux systèmes informatiques sont correctement attribués afin que seuls les utilisateurs ayant un besoin lié au travail puissent accéder aux données personnelles, et ;
- d’autre part l’obligation de mettre en œuvre une procédure de désactivation des droits d’accès lorsqu’un employé quitte la société, couplé à une procédure de contrôle permettant de vérifier la bonne désactivation de l’accès.
Considérant que la municipalité n’a pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques conformément à l’article 32 du RGPD, l’autorité de contrôle a averti la commune sur l’existence de ce manquement.
Source : ici
